Esse tipo de contexto é crítico. Digamos que um POD tenta exfiltrar os dados, fazendo uma solicitação de saída para um terminal externo. Em uma configuração tradicional, você pode ver o tráfego de saída e bloquear o IP. Mas isso não responde à pergunta real: que processo fez a chamada, de qual contêiner e o que estava fazendo antes disso? O tetragon pode vincular o fluxo de rede a um binário específico em uma vagem específica e aplicar uma política que impede o comportamento no meio da execução. É microssegmentação aplicada no nível de identidade e intenção, não apenas conectividade.
A aplicação de políticas antes que o mau comportamento seja executado
A maioria das ferramentas de segurança nativas da nuvem gera alertas. Eles observam atividades suspeitas e enviam toras para Siems ou painéis para a triagem humana. Este modelo não escala em Kubernetes. Com milhares de cargas de trabalho efêmeras, o volume de alerta explode e os cronogramas de investigação se estendem além do ponto de utilidade. Quando uma equipe vê o alerta, o contêiner já poderá ser abaixado.
Tetragon vira este modelo. Como opera no kernel usando o EBPF, ele pode filtrar, agregar e agir em eventos antes de deixar o host. Não apenas relata comportamentos suspeitos; Pode pará -lo. Por exemplo, se um contêiner iniciar um processo de shell inesperado, o tetragon poderá emitir um SIGKILL ou substituir imediatamente. Se um acesso ao arquivo não corresponde à política, a ação poderá ser bloqueada no tempo de execução, não apenas registrado para revisão posterior. Os desenvolvedores podem escrever políticas nativas da Kubernetes que definem exatamente quais processos podem ser executados, quais arquivos eles podem tocar e onde podem se conectar.
